信息安全体系概述-27001
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
• 信息具有的重要价值
– 信息社会对信息高度依赖,信息的风险加大 – 信息的高附加值会引发盗窃、滥用等威胁
企业对信息的依赖程度:
美国明尼苏达大学Bush-Kugel的研究报告指出, 企业在没有信息资料可用的情况下,金融业至多 只能运行2天,商业则为3.3天,工业则为5天, 保险业为5.6天。而以经济情况来看,有25%的 企业,因为的毁损可能立即破产,40%会在两 年内宣布破产,只有7%不到的企业在5年后能 够继续存活。
常见的信息安全问题
• 信息安全损失的“冰山”理论
– 信息安全直接损失只是冰由之一角,
间接损失是直接损失是6-53倍
– 间接损失包括:
• 时间被延误
• 修复的成本
$10,000
• 可能造成的法律诉讼的成本
• 组织声誉受到的影响 • 商业机会的损失
$60,000-$530,000
• 对生产率的破坏
保障信息安全的途径?
陷都会对系统构成威胁。
需要对信息安全进行有效管理
建立统一安全规划体系
改变以往零敲碎打、因人而起、因事而起的安全管理,形成统一的安全体系,指导安全 管理和建设工作。
门户网站防火墙升级 信息防泄露DLP 维护区域扩容项目 RSA令牌扩容项目 应用漏洞扫描工具项目 系统漏洞扫描工具 网站页面防篡改项目 。。。。。。
在整个系统安全工作中,管理(包括管理和法律法规方面)所占比 重应该达到70%,而技术(包括技术和实体)应占30%。
• 建立完善的信息安全体系
– 对信息安全建立系统工程的观念 – 用管理、技术、人员、流程来保证组织的信息安全
• 信息安全遵循木桶原理
– 对信息系统的各个环节进行统一的综合考虑、规划和构架 – 并要时时兼顾组织内不断发生的变化,任何环节上的安全缺
• 从国家的角度考虑有法律、法规、政策问题;从组织角度考虑有安 全方针政策程序、安全管理、安全教育与培训、组织文化、应急计 划和业务持续性管理等问题;从个人角度来看有职业要求、个人隐 私、行为学、心理学等问题。
– 技术与产品
• 可以综合采用商用密码、防火墙、防病毒、身 份识别、网络隔离、可信服务、安全服务、备 份恢复、PKI服务、取证、网络入侵陷阱、主 动反击等多种技术与产品来保护信息系统安全
– 信息安全建设缺乏绩效评估机制,信息安全成了 “投资黑洞”;
– 信息安全人员变成“救火队员” …
保护信息安全的方法
• 如何实现信息安全?
– 信息安全=反病毒软件+防火墙+入侵检测系统? – 管理制度?人的因素?环境因素? – Ernst & Young及国内安全机构的分析:
• 国家政府和军队信息受到的攻击70%来自外部,银行和企 业信息受到的攻击70%来自于内部。
1.系统数量众多,硬件架构多样,系统间交互与接口繁多,相互关系复杂; 2.系统软件架构复杂,网络连接与划分较混乱,互联网接口抗攻击性较弱; 3.系统规划期缺乏安全评审,工程割接缺少安全管理,工程遗留策略与帐号易形成安全漏洞; 4.程序开发阶段缺乏监管,程序源代码缺乏安全检查,可能留下后门或被攻击。
亡羊补牢? 还是打打补丁? 系统地全面整改?
8
• 我国当前信息安全普遍存在的问题
– 忽略了信息化的治理机制与控制体系的建立,和信 息化“游戏规则”的建立;
– 厂商主导的技术型解决方案为主,用户跟着厂商的 步子走;
– 安全只重视边界安全,没有在应用层面和内容层面 考虑业务安全问题;
– 重视安全技术,轻视安全管理,信息安全可靠性没 有保证;
以 防 为 主 : 自 上 而 下 的 策 略 管 理
安全管理的几个阶段
目标
ห้องสมุดไป่ตู้当前
高级
初级
没有形成体系, 只有零散的安全 技术措施
没有专职安全管 理员
在正确的安全体系框
中级
架指导下建设多年,
形成了完备的安全技
尝试构建安全体系 术和管理措施。
框架,具备较多的
安全技术措施,开 安全管理员的工作主
始有意识朝着有体 要是对各种管控规则
信息安全体系概述
广东计安信息网络培训中心
目录
信息安全体系概述 信息安全组织体系 信息安全管理体系 信息安全技术体系 信息安全执行体系
信息安全面临的风险
• 信息系统固有的脆弱性
– 信息本身易传播、易毁损、易伪造 – 信息技术平台(如硬件、网络、系统)的复杂性与脆弱性 – 行动的远程化使安全管理面临挑战
• 75%的被调查者认为员工对信息安全策略和程序的不够了 解是实现信息安全的障碍之一 ,只有35%的组织有持续的 安全意识教育与培训计划
• 66%的组织认为信息系统没有遵守必要的信息安全规则 • 56%的组织认为在信息安全的投入上不足,60%从不计算信
息安全的ROI,83%的组织认为在技术安全产品与技术上投 入最多。
• “保护业务,为业务创造价值”应当是一切安全工作的出发点与归 宿,最有效的方式不是从现有的工作方式开始应用信息安全技术, 而是在针对工作任务与工作流程重新设计信息系统时,发挥信息安 全技术手段支持新的工作方式的能力。
– 人员与管理
• 人是信息安全最活跃的因素,人的行为是信息安全保障最主要的方 面。
零敲碎打
转变
引人而起 因事而起
总体思路:以防为主,防治结合
坚持“以防为主,防治结合”的安全工作措施,形成成熟的、立体的信息安全运行 管控体系。以防为主,即以完善的安全策略为指导,使安全策略能自上而下得到落 实;防治结合,即以风险管理为核心,使风险能自下而上得到反馈和整治。
防 治 结 合 : 自 下 而 上 的 风 险 反 馈
硬件架构: 系统与设备数量越来越多 系统互连关系越来越繁杂
软件架构: 统架构越来越复杂 网络连接与划分混乱 互联网接口抗攻击性较弱
工程管理: 规划期缺乏安全评审 建设与工程割接缺乏安全管理 遗留策略与帐号形成安全漏洞
程序开发: 开发阶段缺乏安全监管 源代码缺乏安全检查,可能留下后门
常见的信息安全问题
系的安全建设发展。 进行微调,关注最新
安全发展动态,考核
安全管理员工作繁 奖惩通报等。
重,既要处理现有
问题,还要准备未
来建设。
信息安全体系的内容
信息安全体系的关注点
– 业务与策略
• 根据业务需要在组织中建立信息安全策略,以指导对信息资产进行 管理、保护和分配。确定并实施信息安全策略是组织的一项重要使 命,也是组织进行有效安全管理的基础和依据。
– 信息社会对信息高度依赖,信息的风险加大 – 信息的高附加值会引发盗窃、滥用等威胁
企业对信息的依赖程度:
美国明尼苏达大学Bush-Kugel的研究报告指出, 企业在没有信息资料可用的情况下,金融业至多 只能运行2天,商业则为3.3天,工业则为5天, 保险业为5.6天。而以经济情况来看,有25%的 企业,因为的毁损可能立即破产,40%会在两 年内宣布破产,只有7%不到的企业在5年后能 够继续存活。
常见的信息安全问题
• 信息安全损失的“冰山”理论
– 信息安全直接损失只是冰由之一角,
间接损失是直接损失是6-53倍
– 间接损失包括:
• 时间被延误
• 修复的成本
$10,000
• 可能造成的法律诉讼的成本
• 组织声誉受到的影响 • 商业机会的损失
$60,000-$530,000
• 对生产率的破坏
保障信息安全的途径?
陷都会对系统构成威胁。
需要对信息安全进行有效管理
建立统一安全规划体系
改变以往零敲碎打、因人而起、因事而起的安全管理,形成统一的安全体系,指导安全 管理和建设工作。
门户网站防火墙升级 信息防泄露DLP 维护区域扩容项目 RSA令牌扩容项目 应用漏洞扫描工具项目 系统漏洞扫描工具 网站页面防篡改项目 。。。。。。
在整个系统安全工作中,管理(包括管理和法律法规方面)所占比 重应该达到70%,而技术(包括技术和实体)应占30%。
• 建立完善的信息安全体系
– 对信息安全建立系统工程的观念 – 用管理、技术、人员、流程来保证组织的信息安全
• 信息安全遵循木桶原理
– 对信息系统的各个环节进行统一的综合考虑、规划和构架 – 并要时时兼顾组织内不断发生的变化,任何环节上的安全缺
• 从国家的角度考虑有法律、法规、政策问题;从组织角度考虑有安 全方针政策程序、安全管理、安全教育与培训、组织文化、应急计 划和业务持续性管理等问题;从个人角度来看有职业要求、个人隐 私、行为学、心理学等问题。
– 技术与产品
• 可以综合采用商用密码、防火墙、防病毒、身 份识别、网络隔离、可信服务、安全服务、备 份恢复、PKI服务、取证、网络入侵陷阱、主 动反击等多种技术与产品来保护信息系统安全
– 信息安全建设缺乏绩效评估机制,信息安全成了 “投资黑洞”;
– 信息安全人员变成“救火队员” …
保护信息安全的方法
• 如何实现信息安全?
– 信息安全=反病毒软件+防火墙+入侵检测系统? – 管理制度?人的因素?环境因素? – Ernst & Young及国内安全机构的分析:
• 国家政府和军队信息受到的攻击70%来自外部,银行和企 业信息受到的攻击70%来自于内部。
1.系统数量众多,硬件架构多样,系统间交互与接口繁多,相互关系复杂; 2.系统软件架构复杂,网络连接与划分较混乱,互联网接口抗攻击性较弱; 3.系统规划期缺乏安全评审,工程割接缺少安全管理,工程遗留策略与帐号易形成安全漏洞; 4.程序开发阶段缺乏监管,程序源代码缺乏安全检查,可能留下后门或被攻击。
亡羊补牢? 还是打打补丁? 系统地全面整改?
8
• 我国当前信息安全普遍存在的问题
– 忽略了信息化的治理机制与控制体系的建立,和信 息化“游戏规则”的建立;
– 厂商主导的技术型解决方案为主,用户跟着厂商的 步子走;
– 安全只重视边界安全,没有在应用层面和内容层面 考虑业务安全问题;
– 重视安全技术,轻视安全管理,信息安全可靠性没 有保证;
以 防 为 主 : 自 上 而 下 的 策 略 管 理
安全管理的几个阶段
目标
ห้องสมุดไป่ตู้当前
高级
初级
没有形成体系, 只有零散的安全 技术措施
没有专职安全管 理员
在正确的安全体系框
中级
架指导下建设多年,
形成了完备的安全技
尝试构建安全体系 术和管理措施。
框架,具备较多的
安全技术措施,开 安全管理员的工作主
始有意识朝着有体 要是对各种管控规则
信息安全体系概述
广东计安信息网络培训中心
目录
信息安全体系概述 信息安全组织体系 信息安全管理体系 信息安全技术体系 信息安全执行体系
信息安全面临的风险
• 信息系统固有的脆弱性
– 信息本身易传播、易毁损、易伪造 – 信息技术平台(如硬件、网络、系统)的复杂性与脆弱性 – 行动的远程化使安全管理面临挑战
• 75%的被调查者认为员工对信息安全策略和程序的不够了 解是实现信息安全的障碍之一 ,只有35%的组织有持续的 安全意识教育与培训计划
• 66%的组织认为信息系统没有遵守必要的信息安全规则 • 56%的组织认为在信息安全的投入上不足,60%从不计算信
息安全的ROI,83%的组织认为在技术安全产品与技术上投 入最多。
• “保护业务,为业务创造价值”应当是一切安全工作的出发点与归 宿,最有效的方式不是从现有的工作方式开始应用信息安全技术, 而是在针对工作任务与工作流程重新设计信息系统时,发挥信息安 全技术手段支持新的工作方式的能力。
– 人员与管理
• 人是信息安全最活跃的因素,人的行为是信息安全保障最主要的方 面。
零敲碎打
转变
引人而起 因事而起
总体思路:以防为主,防治结合
坚持“以防为主,防治结合”的安全工作措施,形成成熟的、立体的信息安全运行 管控体系。以防为主,即以完善的安全策略为指导,使安全策略能自上而下得到落 实;防治结合,即以风险管理为核心,使风险能自下而上得到反馈和整治。
防 治 结 合 : 自 下 而 上 的 风 险 反 馈
硬件架构: 系统与设备数量越来越多 系统互连关系越来越繁杂
软件架构: 统架构越来越复杂 网络连接与划分混乱 互联网接口抗攻击性较弱
工程管理: 规划期缺乏安全评审 建设与工程割接缺乏安全管理 遗留策略与帐号形成安全漏洞
程序开发: 开发阶段缺乏安全监管 源代码缺乏安全检查,可能留下后门
常见的信息安全问题
系的安全建设发展。 进行微调,关注最新
安全发展动态,考核
安全管理员工作繁 奖惩通报等。
重,既要处理现有
问题,还要准备未
来建设。
信息安全体系的内容
信息安全体系的关注点
– 业务与策略
• 根据业务需要在组织中建立信息安全策略,以指导对信息资产进行 管理、保护和分配。确定并实施信息安全策略是组织的一项重要使 命,也是组织进行有效安全管理的基础和依据。